Povolit soubory cookie?

Tento web využívá cookies pro některé jeho funkce, vyhodnocování návštěvnosti a personalizaci reklam. Pomocí cookies nejsou shromažďována žádná citlivá data. Použiváním webu sohlasíte s jejich ukládáním. více informací

Přijmout
gdpr icon

Ochrana osobních údajů ve společnosti IceWarp

Dlouho před tím, než dne 25. května 2018 začalo platit obecné nařízení EU o ochraně osobních údajů a soukromí uživatelů, připravovala se společnost IceWarp z technického i právního hlediska na příchod této přelomové normy v oblasti digitální bezpečnosti. A úspěšně. Společnost IceWarp nyní v plném rozsahu plní nařízení GDPR. Ukážeme vám, jak se na něj může připravit i vaše společnost.
check icon
Ve zkratce: Společnost IceWarp již dodržuje požadavky nařízení GDPR. V současnosti není splnění základních požadavků tohoto nařízení nikterak náročné. Doporučujeme vám si však projít naše doporučení níže.

Účel nařízení GDPR

Obecné nařízení o ochraně osobních údajů (GDPR) je historicky nejrozsáhlejším a nejkomplexnějším nařízením EU, které se týká ukládání a zpracování osobních údajů. Nařízení GDPR bylo přijato dne 14. dubna 2016 a vstoupilo v platnost po dvouletém přechodném období. Toto nové nařízení dává uživatelům rozsáhlejší práva na přístup k jejich osobním údajům a jejich kontrolu a ukládá organizacím povinnosti s cílem zvýšit jejich odpovědnost za ochranu osobních údajů.
Cílem nařízení GDPR není nic menšího než poskytnout všem občanům EU větší kontrolu nad jejich osobními údaji a zjednodušit regulační prostředí mezinárodního obchodu. Co jsou však ty osobní údaje? Slovy úředníků EU: „Osobní údaje jsou veškeré informace o jednotlivci (…) Mezi takové údaje patří cokoliv, od jména, fotografie, e-mailové adresy, bankovních údajů, profilů na sociálních sítích až po zdravotní informace nebo adresu IP osobního počítače.“ *
* Nařízení GDPR stanovuje většinu zákonných povinností. Nad jeho rámec mohou členské státy prostřednictvím vnitrostátních právních předpisů o ochraně osobních údajů stanovit, jakým způsobem se nařízení v dané zemi uplatní.
Nařízení GDPR se však netýká pouze digitálního zabezpečení. Tento nový právní rámec má dopad především na vnitřní procesy společnosti – určuje způsob ukládání údajů, řízení úrovní přístupových oprávnění a aktualizace zásad nakládání s údaji. Ve zkratce to znamená hodně bezesných nocí pro firemní právníky a spoustu papírování pro ostatní zaměstnance. V případě porušení nařízení by totiž hrozil vážný postih.

Technická opatření

Dobrou zprávou je, že pokud používáte nejnovější verzi IceWarp Serveru, požadavky GDPR již splňujete. Na IceWarp Serveru a u všech souvisejících nástrojů a klientských aplikací pravidelně provádíme testování zranitelnosti a penetrační testy. Dbáme také na to, abychom vždy měli všechny kritické součásti systému včetně openSSL, certifikátů atp. plně aktualizované na nejnovější verze záplat. Pro zachování ochrany před nejnovějšími bezpečnostními hrozbami je proto podobně jako u jiných IT systémů nutné IceWarp Server vždy aktualizovat na poslední dostupnou verzi.
Co se týče IT infrastruktury, ujistěte se, že dodržujete obecné osvědčené postupy IT zabezpečení, tedy včetně zabezpečení vzdáleného přístupu, firewallu, vynucování složitých hesel a ochrany proti malware. Tým IceWarp vám pomůže s revizí vašeho současného nastavení.
Pro splnění některých požadavků nařízení GDPR však možná budete muset provést několik změn v konfiguraci IceWarp Serveru. Chcete-li například získat přístup ke všem údajům a vyhledávat v nich, můžete si jednoduše zřídit globální archivářský účet. Takový účet se vám bude hodit, když po vás vaši zákazníci či bývalí zaměstnanci budou žádat provedení auditu jejich osobních údajů podle GDPR.
Existuje také několik dalších jednoduchých kroků, které vám pomohou dosáhnout ještě většího souladu s nařízením GDPR:
  • Ochrana proti ztrátě údajů. Ujistěte se, že používáte funkce SmartAttach a Archive.
  • Přístup k serveru udělujte pouze v nezbytně nutných případech. Snižte počet osob s širokým přístupem k serveru na základě stupně jejich prověření.
  • Povolte dvoufaktorové ověřování. Správci serverů mohou využívat IceWarp Autheticator, který funguje bez problémů pro téměř každého správce IT, nebo můžete nastavit další způsob ověřování, například SMS.
  • Klíče S/MIME. Začněte digitálně podepisovat a šifrovat své zprávy pomocí S/MIME, počítejte však se značným nárůstem potřebného výpočetního výkonu.
  • Úrovně prověření. Proveďte audit oprávnění, odepřete přístup pracovníkům, kteří jej nepotřebují, a nastavte odlišná hesla do adresářů s nejvyšším stupněm zabezpečení.
  • Používejte pouze uživatelské účty. Nedoporučujeme spouštět IW pod superuživatelským (root) účtem. Využívejte raději vyhrazené uživatelské účty.
  • Vyhledávání údajů. Určete oprávněné osoby, kterým bude přiděleno oprávnění vyhledávat v archivu e-mailů (Email Archive) a používat fulltextové vyhledávání (Full-text search).
  • Osobní vymazání. Ujistěte se, že výmaz provádí osoba, která údaje vlastní.
  • Používejte systémové protokoly. Povolte na serveru protokoly údržby systému, které vám umožní sledovat veškeré činnosti na serveru spolu s ověřováním a aktivitou uživatelů.

Žádosti subjektů údajů

S námi máte jistotu, že IceWarp On-premise i Cloud jsou již nyní v plném rozsahu v souladu s nařízením GDPR. Pokud jde o plnění požadavků uživatelů na přístup k údajům, je však situace o něco složitější. Správce údajů musí vyhledat údaje uživatele, kategorizovat je a vytvořit zprávu podle GDPR. To je situace, kdy se může hodit vestavěné fulltextové vyhledávání. Fulltextové vyhledávání s pokročilými možnostmi filtrování vám umožní na několik kliknutí zpracovat žádosti subjektů údajů o přístup z různých zdrojů na vašem serveru.
Můžete vyhledávat osobní údaje obsažené v e-mailech, zprávách a všech souborech hostovaných na IceWarp Cloud. Můžete také archivovat a odstranit veškeré osobní údaje, které jsou v těchto e-mailech, zprávách a hostovaných souborech obsažené.
To vám pomůže při uplatňování těchto práv subjektů údajů:
tool icon
Právo na přístup
tool icon
Právo na opravu
tool icon
Právo na výmaz
tool icon
Právo na omezení zpracování
tool icon
Právo na přenositelnost údajů
tool icon
Právo vznést námitku
check icon
Proveďte audit
Potřebujete další pomoc s přípravou na GDPR? Kontaktujte nás na adrese gdpr@icewarp.com. S přípravami Vám rádi pomůžeme.
check icon
Kontaktní osoba
Případné dotazy týkající se GDPR můžete směřovat na pověřence pro ochranu osobních údajů společnosti IceWarp na adrese dpo@icewarp.com

Cloudové služby a ochrana soukromí

Bez ohledu na to, zda se rozhodnete ukládat své údaje v Německu či v USA, společnost IceWarp bude dodržovat evropské nařízení GDPR. GDPR se totiž vztahuje na osobní údaje jakéhokoli koncového uživatele nebo obchodního kontaktu jakéhokoli občana Evropské unie, takže je snazší jej implementovat ve všech našich clusterech. Společnost IceWarp navíc pracuje na tom, aby i ostatním firmám umožnila zjišťování údajů (data discovery) a dodržování předpisů, snadné vyhledávání osobních údajů ve všech interně používaných systémech pomocí fulltextového vyhledávání a jejich bezpečnou archivaci či mazání. Pro potřeby ochrany osobních údajů v amerických organizacích, které pracují s citlivými informacemi o zdravotním stavu pacientů, můžeme pomoci zajistit soulad s národním standardem HIPAA.
Víceúrovňové aplikace IceWarp Cloud používají samostatné virtuální počítače (VM) včetně nesdíleného úložiště, takže narušení bezpečnosti v jedné lokalitě nemá vliv na ostatní. Jednotlivé firewally fungují jako ochranná schránka pro vaše údaje. Inteligentní automatizace cloudu vyvinutá společností IceWarp zajišťuje nejvyšší úroveň bezpečnosti informací. Tím se odlišujeme od běžně dostupných virtualizačních platforem, které se vyznačují množstvím zranitelností. Připojení jsou zabezpečena a omezena na oprávněné pracovníky, kteří se připojují prostřednictvím virtuální privátní sítě (L2TP/IPSec) a brány SSH s využitím osobních tokenů. Pro většinu služeb jsou otevřeny pouze nezbytně nutné porty, čímž se toto riziko ještě dále snižuje. Ve všech našich datových centrech je také zajištěna vysoká bezpečnost fyzického přístupu, která clustery chrání před poškozením, neoprávněným vniknutím, krádeží, požárem apod. Preventivní monitorování všech služeb a síťového provozu navíc odhalí jakoukoli škodlivou aktivitu a umožní našemu bezpečnostnímu týmu včas reagovat.
Veškeré údaje a aplikace na cloudu jsou fyzicky uloženy na serveru umístěném v datovém centru nebo serverové farmě. Umístění datového centra je nejdůležitějším faktorem při výběru poskytovatelů cloudových služeb. Zveřejňují vůbec tuto informaci? Mohou zaručit, že vaše údaje budou uchovávány v rámci jurisdikce jednoho státu, například aby se zabránilo předávání osobních údajů?
Pomocí služby IceWarp Cloud si můžete vybrat ze seznamu několika datových center, kde budou vaše údaje uchovávány. Vzdálenost a místní připojení k nejbližšímu datovému centru umožní nejen rychlejší odezvu služby, ale také zajistí, že údaje budou chráněny právními předpisy vašeho státu o ochraně osobních údajů. Zaručujeme, že vaše údaje nebudou přesunuty do zahraničí. Více informací o našich certifikovaných datových centrech najdete na adrese www.icewarp.com/cloud-order/datacenters.
gdpr icon

Certifikace ISO/IEC 27701

Ve společnosti IceWarp přísně dodržujeme právní předpisy o ochraně osobních údajů. Pro řešení provozních problémů spojených se zpracováním rostoucího množství osobních údajů jsme zavedli interní systém řízení bezpečnosti osobních údajů s procesy certifikovanými podle uznávané mezinárodní normy ISO/IEC 27001. Jedná se o jednu z nejpoužívanějších norem ISO na světě, která se uplatňuje v řadě organizací (zahrnující jak zpracovatele, tak i správce údajů). To znamená, že organizace s certifikací ISO 27001 se mohou spolehnout na IceWarp jako na dodavatele, u kterého je prováděn nezávislý audit a který je interoperabilní v rámci stejných norem a standardů. Pro firmy, které dosud o certifikaci nepožádaly, je toto klíčovým předpokladem, aby byly naše služby poskytovány v souladu s GDPR. Stručně řečeno, ochrana osobních údajů (bez ohledu na to, zda na základě GDPR, či jiného nařízení) spočívá v zavedených standardech bezpečnosti informací.